Архив рубрики ~Лента новостей~

Patch the Planet: инициатива Daybreak в поддержку разработчиков открытого исходного кода | OpenAI

Patch the Planet: инициатива Daybreak в поддержку разработчиков открытого исходного кода | OpenAI

  • Как работает Patch the Planet
  • Первые полевые заметки и выводы разработчиков
  • Что уже обнаруживает OpenAI Daybreak
    • Операционные системы
    • Сеть
    • Браузеры
  • Общая инфраструктура, общая оборона

Оглавление

  • Как работает Patch the Planet
  • Первые полевые заметки и выводы разработчиков
  • Что уже обнаруживает OpenAI Daybreak
    • Операционные системы
    • Сеть
    • Браузеры
  • Общая инфраструктура, общая оборона

Мы представляем Patch the Planet — инициативу Daybreak , созданную совместно с Trail of Bits, чтобы помочь разработчикам укрепить критически важное программное обеспечение с открытым исходным кодом, от которого зависит весь мир. Мы объединяем исследования в области безопасности с использованием искусственного интеллекта и наших наиболее совершенных моделей кибербезопасности с экспертной оценкой, чтобы не только выявлять уязвимости, но и помогать их устранять.

Искусственный интеллект ускоряет обнаружение уязвимостей, но одного обнаружения недостаточно для защиты пользователей. Многим разработчикам уже приходится обрабатывать больше отчетов быстрее, при тех же ограниченных временных и ресурсных затратах. Patch the Planet создан для того, чтобы уменьшить эту нагрузку, а не увеличить ее: инженеры по безопасности проверяют результаты до того, как они попадут к разработчикам, сотрудничают с проектами для разработки патчей и тестов, а также создают многократно используемые рабочие процессы, которые помогают командам продолжать улучшать безопасность после внедрения первых исправлений.

В рамках первоначального этапа разработки Trail of Bits задействовала всю свою организацию по исследованию безопасности (открывается в новом окне) . Они напрямую сотрудничают с разработчиками для изучения и проверки уязвимостей, разработки и тестирования патчей, а также координации раскрытия информации об уязвимостях.

Кроме того, мы будем сотрудничать с HackerOne и Calif, которые помогают нам продвигать наши усилия в области анализа уязвимостей, скоординированного раскрытия информации и дополнительных целенаправленных мероприятий по обнаружению уязвимостей.

Как работает Patch the Planet

Каждое сотрудничество в рамках проекта Patch the Planet начинается с консультаций с сопровождающим проекта. В рамках каждого проекта инженеры по безопасности работают с сопровождающими, чтобы понять потребности, предпочтения и определить, где дополнительные усилия по обеспечению безопасности будут наиболее полезны: проверка уязвимостей, разработка патчей, улучшение CI/CD или долгосрочное проектирование систем безопасности. После согласования исследователи изучают потенциальные уязвимости, подтверждают наличие существенных проблем, разрабатывают или дорабатывают патчи, поддерживают тестирование и координируют раскрытие информации через установленные в проекте каналы.

В число первоначальных участников входят cURL, NATS Server, pyca/cryptography, Sigstore, aiohttp, проект Go, freenginx, Python и python.org. Эти проекты поддерживают широко используемые сетевые технологии, криптографию, цепочки поставок программного обеспечения и языковую инфраструктуру, где повышение безопасности может принести пользу широкому спектру конечных продуктов и услуг. В будущих раундах к проекту присоединятся дополнительные проекты.

Исследователи в области безопасности получают доступ к нашим передовым моделям, а также к Codex Security (открывается в новом окне) для поддержки анализа, разработки патчей, тестирования и документирования. Участвующие проекты получают доступ к ChatGPT Pro; условный доступ к Codex Security; и кредиты API для основной разработки открытого исходного кода, автоматизации процессов сопровождения и рабочих процессов выпуска. Trail of Bits разработала рабочие процессы с поддержкой ИИ для дедупликации, сортировки и установки патчей, которые проекты могут запускать с этой поддержкой.

Первые полевые заметки и выводы разработчиков

В Trail of Bits работают штатные инженеры по безопасности, занимающиеся Codex и GPT-5.5-Cyber в рамках 19 проектов с открытым исходным кодом. Компания уже выявила сотни проблем безопасности и внедрила десятки патчей, а многие другие находятся на стадии скоординированного раскрытия.

На начальном этапе также была создана многоразовая инфраструктура безопасности: тестовые среды для фаззинга, конвейеры анализа исторических уязвимостей CVE, системы дифференциального тестирования, модели угроз, расширенные наборы тестов и рабочие процессы для дедупликации, фильтрации ложных срабатываний, исправления серьезных ошибок и генерации патчей. Некоторые подробности проекта будут предоставлены позже по мере продвижения тестирования, устранения уязвимостей и скоординированного раскрытия информации. Несколько ранних примеров показывают, что команде удалось создать и обнаружить:

Лаборатория фаззинга менее чем за день. Инженеры Trail of Bits использовали многократные запуски Codex /goal с GPT-5.5-Cyber для создания целой лаборатории фаззинга, охватывающей десятки точек входа, вариантов сборки, платформ и новых тестовых сценариев. Инженеры установили цели и уточнили подсказки; затем система использовала обратную связь по покрытию кода для дальнейшего расширения на новые области, выявления граничных случаев и фильтрации слабых или недействительных кандидатов.

Инженеры Trail of Bits обнаружили, что при минимальном руководстве GPT-5.5-Cyber принимала полезные решения о том, где расширять охват, какие сборки и точки входа исследовать, а какие кандидаты были слишком слабыми для дальнейшего изучения. Полная настройка заняла менее дня. По оценкам Trail of Bits, создание аналогичной лаборатории вручную обычно занимает не менее нескольких недель.

Многоразовый конвейер для поиска вариантов известных уязвимостей. Команда разработала комплексную систему, которая обрабатывает исторические CVE, извлекает соответствующие шаблоны уязвимостей, ищет связанные недостатки в целевых кодовых базах и отправляет потенциальные результаты через специализированные агенты оценки. Конвейер удаляет дубликаты результатов, фильтрует вероятные ложные срабатывания и направляет наиболее убедительные доказательства инженерам по безопасности для ручного подтверждения.

Это превращает многолетнюю историю публичных уязвимостей в повторяемую стратегию поиска, которую можно применять в разных проектах. Компания Trail of Bits обнаружила, что модели особенно эффективны в таком виде анализа вариантов, который выявил множество дополнительных проблем в рассматриваемых кодовых базах.

Диаграмма под названием «Обнаружение и проверка вариантов на основе исторических данных CVE» показывает рабочий процесс слева направо. Исторические данные CVE обрабатываются оркестратором для получения артефактов, которые затем распределяются по Codex по каждому выпуску. Каждый выпуск проходит через этап проверки выпуска, две проверки на ложноположительные результаты, проверку на дубликаты и заключительный этап составления отчета. Результаты включают пропуск/отсутствие варианта, отклонение как ложноположительный результат или дубликат, или сообщение о достоверном обнаружении недублированного варианта.

Дифференцированное тестирование занимает дни, а не недели или месяцы. Различные реализации одного и того же протокола, как правило, должны вести себя одинаково при одинаковых входных данных. Если они расходятся, одна из них может содержать ошибку. Применение этой идеи в больших масштабах обычно затруднительно, поскольку инженерам приходится писать собственный вспомогательный и связующий код, соединяющий каждую реализацию с общей тестовой средой.

Codex сгенерировал и доработал этот код, что позволило провести фаззинг-тестирование множества реализаций и исследовать различия в их поведении. Рабочий процесс отфильтровал множество слабых или некорректных результатов и выдал сравнительно высокоэффективный набор кандидатов для экспертной оценки. Команда достигла этих результатов за несколько дней, сократив работу, которая раньше занимала недели или месяцы. Trail of Bits продолжает расширять и совершенствовать эти тесты, прежде чем публиковать подробности, специфичные для проекта.

Тестирование программного обеспечения на соответствие заявленному в его спецификациях поведению. Команды использовали Codex для разработки моделей угроз, таксономий атак, инвариантных тестов и тестов на основе свойств, основанных на спецификациях проекта и RFC. Эти методы выявили существенные различия между предполагаемым и фактическим поведением, обеспечив при этом более широкое тестовое покрытие, более качественную документацию и улучшения инструментов CI/CD и цепочки поставок программного обеспечения.

Инженеры по безопасности проверяли каждое обнаруженное нарушение, прежде чем оно попадало к сопровождающему проекта. Инженеры Trail of Bits вручную проверяли каждую проблему безопасности, прежде чем она передавалась сопровождающему проекта, и ценность этого шага невозможно переоценить. Хотя передовые модели ИИ обладают высокими возможностями для обнаружения уязвимостей и их устранения, они также выдают большое количество ложных срабатываний, что может усугубить и без того огромный список задач, стоящих перед сопровождающими проекта. Patch the Planet решает эту проблему, привлекая исследователей Trail of Bits для воспроизведения обнаруженных уязвимостей, проверки результатов на соответствие проектной документации и моделям угроз, удаления дубликатов, переоценки серьезности и определения приоритетов подтвержденных уязвимостей для устранения. Они также разрабатывают и отправляют патчи в соответствии с предпочтениями сопровождающих проекта. Сопровождающие проекта сохраняют контроль над тем, какие патчи развертываются и как осуществляется раскрытие информации.

Что уже обнаруживает OpenAI Daybreak

Проект Patch the Planet основывается на более широкой работе Daybreak, демонстрирующей, как модели, демонстрирующие потенциал новых технологий, могут помочь специалистам по защите обнаруживать, подтверждать и устранять серьезные уязвимости в широко используемом программном обеспечении.

Здесь мы делимся несколькими первыми результатами, воздерживаясь от раскрытия механики эксплойтов и деталей, специфичных для проекта, где раскрытие информации еще продолжается. По мере внедрения исправлений и завершения скоординированного раскрытия информации мы планируем публиковать более подробные технические отчеты, в которых будут описаны отдельные результаты, методы исследования, рабочие процессы проверки и уроки, которые могут применить другие специалисты по защите.

Наши выводы охватывают все уровни программного обеспечения, и многие другие находятся в процессе раскрытия.

Операционные системы

  • Ядро Linux: GPT-5.5-Cyber выявил компоненты, имеющие отношение к безопасности, в более чем 30 миллионах строк кода, отметил потенциальные проблемы безопасности, а затем динамически проверил их, сгенерировав 8 концептуальных доказательств утечки информации о указателях ядра (PoC) и 24 эксплойта для повышения локальных привилегий. Отметим, что были выявлены сотни проблем, это подмножество, для которого были автоматически сгенерированы PoC. 
  • OpenBSD: Наши модели выявили 23-летнюю ошибку использования памяти после освобождения ( use-after-free ) в реализации семафоров System V в ядре OpenBSD. Исследователи OpenAI воспроизвели проблему и подтвердили, что она может позволить непривилегированному локальному пользователю повысить свои привилегии до уровня root.
  • FreeBSD: Исследователи безопасности из Калифорнии использовали Codex для поиска и проверки эксплойтов с помощью демонстрационных версий нескольких уязвимостей (открывается в новом окне) LPE (открывается в новом окне) в FreeBSD (открывается в новом окне) . В рамках более масштабной кампании по FreeBSD исследователи OpenAI подтвердили 34 уязвимости и создали 7 локальных PoC-примеров повышения привилегий.

Сеть

  • dnsmasq : Компания Codex Security независимо выявила уязвимые шаблоны, соответствующие четырем из шести CVE dnsmasq, впоследствии исправленных в версии 2.92rel2 : CVE-2026-4890 (открывается в новом окне) , CVE-2026-4891 (открывается в новом окне) , CVE-2026-4892 (открывается в новом окне) и CVE-2026-5172 (открывается в новом окне) .
  • HTTP/2 Bomb : Calif использовал Codex для идентификации « HTTP/2 Bomb » (открывается в новом окне) , метода атаки типа «отказ в обслуживании», затрагивающего основные реализации HTTP/2, включая NGINX, Apache, IIS и Pingora. Анализ Calif показал, что более 880 000 веб-сайтов, доступных из интернета, использовали уязвимое серверное программное обеспечение с включенным HTTP/2.

Браузеры

  • Chrome : Исследователи OpenAI обнаружили и сообщили о пяти уязвимостях в движке JavaScript V8 в Chrome, которые можно было использовать, в том числе о трех, которые были выявлены и устранены в течение нескольких дней после их появления.
  • Safari : Примерно за неделю целенаправленной работы с WebKit было обнаружено и сообщено о более чем 10 уязвимостях Safari, которые можно использовать в своих целях.
  • Firefox : В ходе оценки безопасности OpenAI Preparedness выявила уязвимость WebAssembly ( CVE-2026-8390 ) в GPT-5.5 ( открывается в новом окне) , которую Mozilla устранила за два дня до Pwn2Own Berlin, что побудило пять из шести зарегистрированных участников, использующих Firefox, снять свои заявки. На конкурсе не удалось успешно продемонстрировать ни одного эксплойта для Firefox.

Общая инфраструктура, общая оборона

Программное обеспечение с открытым исходным кодом — это общая инфраструктура. Обеспечение его безопасности должно быть совместной работой. Искусственный интеллект меняет темпы обнаружения уязвимостей, и теперь задача состоит в том, чтобы преимущества от его использования дошли до тех, кто больше всего в нем нуждается, — до разработчиков и пользователей.

Patch the Planet разработан для того, чтобы предоставить полный цикл защиты в распоряжение обслуживающего персонала: обнаружение, проверка, оценка серьезности, раскрытие информации, разработка патчей, тестирование и развертывание. Передовые модели могут ускорить отдельные этапы этого цикла, но цель состоит в том, чтобы предоставить людям, ответственным за общую инфраструктуру, лучшие инструменты и больше возможностей, сохраняя при этом их контроль над тем, как будут внедряться изменения.

Этот первый спринт демонстрирует, чего можно добиться благодаря устойчивому сотрудничеству между сопровождающими проекта, инженерами по безопасности и рабочими процессами с использованием ИИ: немедленным исправлениям, более надежной инфраструктуре проекта и многократно используемым решениям в области безопасности, которые могут продолжать улучшать программное обеспечение с открытым исходным кодом с течением времени.

Это только начало. По мере внедрения новых исправлений и завершения скоординированного раскрытия информации мы планируем публиковать более подробные технические отчеты по отдельным обнаруженным проблемам, методам их выявления и проверки, а также рабочим процессам, которые защитники могут адаптировать для защиты программного обеспечения, от которого все зависят. Если вы являетесь сопровождающим проекта, вы можете подать заявку на участие в Patch the Planet здесь (откроется в новом окне) .

Источник: openai.com

Похожие записи

Оцените материал:

Поделиться
Понравилась статья? Расскажите другим
ВКонтакте
Читайте также
Архив рубрики ~Обо всем~ Подсказки, ответы и помощь по Wordle за 22 июня, № 1829 Архив рубрики ~Обо всем~ Искусственный интеллект, который общается сам с собой, учится быстрее и умнее. Архив рубрики ~Обо всем~ Труд как коммодитис. Комодитизация труда. Информация и искусство как commodité Архив рубрики ~Обо всем~ Ученые составили мировую карту густоты арбускулярной микоризы. Длину всех ее гиф оценили в половину расстояния от Земли до центра Млечного пути Новости робототехники Китайская компания Seres, известная своими электромобилями, представила первого андроида Xiaosai, который умеет распознавать людей и вести с ними диалог Новости робототехники У роботов очень короткая память. Можно ли это исправить? Архив рубрики ~Обо всем~ JUNO уточнил параметры осцилляций нейтрино. Для этого хватило 59 дней наблюдений за реакторными антинейтрино Архив рубрики ~Коротко из Telegram~ Ведомости провели титаническую работу и посчитали, сколько в России иностранных… Архив рубрики ~Коротко из Telegram~ LogicBallsAI собрал 500+ AI-инструментов для текста в одном месте Появился… Архив рубрики ~Коротко из Telegram~ Исследователи из Университета Торонто создали самораспространяющийся червь на базе открытой… Архив рубрики ~Обо всем~ Человеческий мозг может работать гораздо больше как искусственный интеллект, чем кто-либо предполагал. Архив рубрики ~Коротко из Telegram~ ElevenLabs выходит за пределы голосов и превращается в полноценную AI-видеоплатформу… Архив рубрики ~Полезное~ Инструменты недели — Lucis отслеживает более 100 биомаркеров из крови Архив рубрики ~Коротко из Telegram~ Рамочный законопроект о регулировании ИИ ушёл на золото Теперь он… Архив рубрики ~Обо всем~ Подсказки, ответы и помощь по Wordle за 22 июня, № 1829 Архив рубрики ~Обо всем~ Искусственный интеллект, который общается сам с собой, учится быстрее и умнее. Архив рубрики ~Обо всем~ Труд как коммодитис. Комодитизация труда. Информация и искусство как commodité Архив рубрики ~Обо всем~ Ученые составили мировую карту густоты арбускулярной микоризы. Длину всех ее гиф оценили в половину расстояния от Земли до центра Млечного пути Новости робототехники Китайская компания Seres, известная своими электромобилями, представила первого андроида Xiaosai, который умеет распознавать людей и вести с ними диалог Новости робототехники У роботов очень короткая память. Можно ли это исправить? Архив рубрики ~Обо всем~ JUNO уточнил параметры осцилляций нейтрино. Для этого хватило 59 дней наблюдений за реакторными антинейтрино Архив рубрики ~Коротко из Telegram~ Ведомости провели титаническую работу и посчитали, сколько в России иностранных… Архив рубрики ~Коротко из Telegram~ LogicBallsAI собрал 500+ AI-инструментов для текста в одном месте Появился… Архив рубрики ~Коротко из Telegram~ Исследователи из Университета Торонто создали самораспространяющийся червь на базе открытой… Архив рубрики ~Обо всем~ Человеческий мозг может работать гораздо больше как искусственный интеллект, чем кто-либо предполагал. Архив рубрики ~Коротко из Telegram~ ElevenLabs выходит за пределы голосов и превращается в полноценную AI-видеоплатформу… Архив рубрики ~Полезное~ Инструменты недели — Lucis отслеживает более 100 биомаркеров из крови Архив рубрики ~Коротко из Telegram~ Рамочный законопроект о регулировании ИИ ушёл на золото Теперь он…
Гибкий материал позволит преобразовывать магнитные поля в электричество
Архив рубрики ~Лента новостей~

Гибкий материал позволит преобразовывать магнитные поля в электричество

11.07.2025
Google: новая модель ИИ для прогнозов погоды стала быстрее и точнее
Архив рубрики ~Лента новостей~

Google: новая модель ИИ для прогнозов погоды стала быстрее и точнее

18.11.2025
Google создает одну из самых разнообразных и мощных экосистем искусственного интеллекта
Архив рубрики ~Лента новостей~

Google создает одну из самых разнообразных и мощных экосистем искусственного интеллекта

04.01.2026

Оставить комментарий